Как построить сканер SQL-инъекций на Python
Узнайте, как написать простой скрипт на Python для обнаружения уязвимости SQL Injection в веб-приложениях с помощью запросов и BeautifulSoup в Python.
SQL-инъекция – это техника инъекции кода, которая используется для выполнения SQL-запросов через данные, вводимые пользователем в уязвимое веб-приложение. Это одна из самых распространенных и опасных техник взлома веб-приложений.
https://t.me/sqlhub – Базы данных обучающие материалы и гайды в нашем телеграм канале.
Успешная атака SQL-инъекции может нанести большой ущерб базе данных и веб-приложению в целом. Например, она может считывать из базы данных конфиденциальные данные, такие как пароли пользователей, вставлять, изменять и даже удалять данные.
Давайте установим необходимые библиотеки для этого:
pip3 install requests bs4
Давайте импортируем необходимые модули:
import requests
from bs4 import BeautifulSoup as bs
from urllib.parse import urljoin
from pprint import pprint
# initialize an HTTP session & set the browser
s = requests.Session()
s.headers["User-Agent"] = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36"
Мы также инициализировали сессию запросов и установили пользовательский агент.
Поскольку SQL-инъекция – это все о пользовательском вводе, нам нужно будет сначала извлечь веб-формы. К счастью для нас, я уже написал учебник по извлечению и заполнению форм в Python. Нам понадобятся следующие функции:
def get_all_forms(url):
"""Given a `url`, it returns all forms from the HTML content"""
soup = bs(s.get(url).content, "html.parser")
return soup.find_all("form")
def get_form_details(form):
"""
This function extracts all possible useful information about an HTML `form`
"""
details = {}
# get the form action (target url)
try:
action = form.attrs.get("action").lower()
except:
action = None
# get the form method (POST, GET, etc.)
method = form.attrs.get("method", "get").lower()
# get all the input details such as type and name
inputs = []
for input_tag in form.find_all("input"):
input_type = input_tag.attrs.get("type", "text")
input_name = input_tag.attrs.get("name")
input_value = input_tag.attrs.get("value", "")
inputs.append({"type": input_type, "name": input_name, "value": input_value})
# put everything to the resulting dictionary
details["action"] = action
details["method"] = method
details["inputs"] = inputs
return details
Функция get_all_forms() использует библиотеку BeautifulSoup для извлечения всех тегов формы из HTML и возвращает их в виде списка Python, а функция get_form_details() получает в качестве аргумента один объект тега формы и разбирает полезную информацию о форме, такую как действие (целевой URL), метод (GET, POST и т.д.) и все атрибуты поля ввода (тип, имя и значение).
Далее мы определяем функцию, которая сообщает нам, есть ли на веб-странице ошибки SQL, это будет удобно при проверке на уязвимость SQL-инъекции:
def is_vulnerable(response):
"""A simple boolean function that determines whether a page
is SQL Injection vulnerable from its `response`"""
errors = {
# MySQL
"you have an error in your sql syntax;",
"warning: mysql",
# SQL Server
"unclosed quotation mark after the character string",
# Oracle
"quoted string not properly terminated",
}
for error in errors:
# if you find one of these errors, return True
if error in response.content.decode().lower():
return True
# no error detected
return False
Очевидно, что я не могу определить ошибки для всех серверов баз данных. Для более надежной проверки необходимо использовать регулярные выражения для поиска совпадений ошибок. Посмотрите этот XML-файл, в котором их много (используется утилитой sqlmap).
Теперь, когда у нас есть все инструменты, давайте определим главную функцию, которая ищет все формы на веб-странице и пытается поместить символы кавычек и двойных кавычек в поля ввода:
def scan_sql_injection(url):
# test on URL
for c in "\"'":
# add quote/double quote character to the URL
new_url = f"{url}{c}"
print("[!] Trying", new_url)
# make the HTTP request
res = s.get(new_url)
if is_vulnerable(res):
# SQL Injection detected on the URL itself,
# no need to preceed for extracting forms and submitting them
print("[+] SQL Injection vulnerability detected, link:", new_url)
return
# test on HTML forms
forms = get_all_forms(url)
print(f"[+] Detected {len(forms)} forms on {url}.")
for form in forms:
form_details = get_form_details(form)
for c in "\"'":
# the data body we want to submit
data = {}
for input_tag in form_details["inputs"]:
if input_tag["type"] == "hidden" or input_tag["value"]:
# any input form that is hidden or has some value,
# just use it in the form body
try:
data[input_tag["name"]] = input_tag["value"] + c
except:
pass
elif input_tag["type"] != "submit":
# all others except submit, use some junk data with special character
data[input_tag["name"]] = f"test{c}"
# join the url with the action (form request URL)
url = urljoin(url, form_details["action"])
if form_details["method"] == "post":
res = s.post(url, data=data)
elif form_details["method"] == "get":
res = s.get(url, params=data)
# test whether the resulting page is vulnerable
if is_vulnerable(res):
print("[+] SQL Injection vulnerability detected, link:", url)
print("[+] Form:")
pprint(form_details)
break
Перед извлечением форм и их отправкой вышеуказанная функция сначала проверяет уязвимость в URL, поскольку сам URL может быть уязвимым. Это просто делается путем добавления символа кавычки к URL.
Затем мы выполняем запрос с помощью библиотеки requests и проверяем, есть ли в содержимом ответа ошибки, которые мы ищем.
После этого мы разбираем формы и выполняем отправку с символами кавычек в каждой найденной форме, вот мой результат после тестирования на известной уязвимой веб-странице:
if __name__ == "__main__":
url = "http://testphp.vulnweb.com/artists.php?artist=1"
scan_sql_injection(url)
Выход:
[!] Trying http://testphp.vulnweb.com/artists.php?artist=1"
[+] SQL Injection vulnerability detected, link: http://testphp.vulnweb.com/artists.php?artist=1"
Как видите, уязвимость была в самом URL, но после того, как я протестировал это на своем локальном уязвимом сервере (DVWA), я получил следующий результат:
[!] Trying http://localhost:8080/DVWA-master/vulnerabilities/sqli/"
[!] Trying http://localhost:8080/DVWA-master/vulnerabilities/sqli/'
[+] Detected 1 forms on http://localhost:8080/DVWA-master/vulnerabilities/sqli/.
[+] SQL Injection vulnerability detected, link: http://localhost:8080/DVWA-master/vulnerabilities/sqli/
[+] Form:
{'action': '#',
'inputs': [{'name': 'id', 'type': 'text', 'value': ''},
{'name': 'Submit', 'type': 'submit', 'value': 'Submit'}],
'method': 'get'}
Примечание: Если вы хотите протестировать скрипт на локальных уязвимых веб-приложениях, таких как DVWA, вам необходимо сначала войти в систему. Я предоставил код для входа в DVWA в сценарии здесь, и вы найдете его в виде закомментированного кода в самом начале
Заключение
Обратите внимание, что я протестировал этот скрипт на многих уязвимых веб-сайтах, и он работает просто отлично. Однако если вам нужен более надежный инструмент для SQL-инъекций, воспользуйтесь sqlmap. Он также написан на языке Python и автоматизирует процесс обнаружения и эксплуатации дефектов SQL-инъекций.
Вы можете расширить этот код, добавив функцию эксплуатации; эта шпаргалка поможет вам использовать правильные SQL-команды. Или вы можете извлечь все ссылки сайта и проверить на уязвимость все страницы сайта. Вы можете сделать и это!
Внимание! Не используйте данный подход для взлома сайтов, это карается законом!